CISO们,请重视安全工程团队的价值
当下,将安全管控流程的步骤实现自动化是现代开发环境中的关键,快速 CI/CD 管道没有手动审查的空间,而是需要自动化管道测试。我们知道的是,开发人员不是安全专家,他们花在安全上的时间更少,因此需要具有嵌入式安全专业知识的工具,并能够减轻或促进安全性决策。
然而,构建和运营安全工具并非易事,尤其是在大型组织中,不同的开发团队有着截然不同的要求。因此,为了帮助提高自动化程度,一些组织创建了专门的团队,称其为“安全工程团队”,此团队专注于构建内部工具和集成外部工具,目的是为了增强企业的安全性。
在国内,安全工程团队由对安全性略有偏见的软件工程师组成,其运作方式与完整的 DevOps 工程团队类似。他们通常构建、部署和运营他们构建的服务,并使用与其他工程团队相同的方法来运行其敏捷流程和管理产品积压工作。
而相较于国内,国外安全专家认为,安全工程团队是安全的建设者,他们通过构建服务、自动化流程、优化部署来支持核心安全团队及其利益相关者。在国外,安全工程团队通常由基础设施工程师、架构师和产品经理所组成。
国外安全专家提出,安全工程团队的心态该是建设者的心态,其与渗透测试人员或第三方风险管理评估人员的心态截然不同,因此这点也给安全负责人提出了挑战。“随着安全工程团队的不断壮大,CISO需要对其结构和职能进行更确切的判断。”
通常而言,较为高级的安全工程团队会在三个重点领域里有所作为:基础技术技能、领导技能和个性化软技能。
“Engineering”从根本上来说是一门技术学科,因此这一角色的基础部分之一自然将植根于技术,技术一定是安全工程团队需要具备的技能。
因此,了解相关的技术环境是做好工作的关键,这一点虽然常常被人说道,但真的能做到的团队却很少。比如有些组织会在Kubernetes中部署服务,但他们的安全工程团队却从未接触过容器,这就很可能会引发问题,虽然了解容器并不是安全工程团队的首要任务,但在整个工作环境中围绕高水平的技术认知进行操作,就一定能提高效率和有效性,所以安全工程团队需要了解技术环境。
与此相对应的是,可以将多样性注入团队,比如不同部门的技能、解决问题的视角和经验水平方面的多样性,这种多样性可以通过很多方法在团队中寻求和管理,性别、地域、教育背景,还可以是过去的工作经验,等等。当创意受到质疑、反对和迭代时,多样性可以成为团队创造力的最佳补充。
而作为安全工程团队的负责人,应该谨慎管理不同的观点和经验上的多样性,因为在协作过程中,过度的变化、摩擦可能会引发意料之外的变故,比如使得整个团队陷入了“分析瘫痪”的境地,,每个人只想着怎么做却无法付诸于行动,这是团队过度多样化可能会带来的后果,团队中的每个人应该相互依赖、相互关联,而不是成为他人的绊脚石。在《漂流到失败》一书中,Sidney Dekker就详细地探讨了什么是“复杂相互依赖系统”的文化条件。
安全工程团队要能够构建和运营他们所提供的服务,既然建立起了体系,就该管理好它。从技术和文化的角度来看,团队内部的这种所有权意识至关重要,这也为问责制奠定了基调。从技术上讲,一个对安全服务有着足够认知的工程团队将能够熟练地管理基础设施、CI/CD工具、安全工具、应用程序代码、部署以及服务所发出的操作遥测。也就是说,支持所有安全团队所需的技能,对一些大型组织来说,就等同于支持了所有部门。
理解、接受并优化DevX的工程团队会更受组织青睐,这样的工程团队会更为关注如何消除合作间的摩擦。众所周知,合作摩擦会使工作耗时更长,运营成本更高,造成更长的学习周期,并可能导致意外的安全事件发生。因此合作时的摩擦越小,运行就会越顺畅。
但有时候摩擦也是必要的,比如在关键代码合并之前对其进行强制代码审查。也就是说,如果暂停、审查和合并流程是基于一个合理的决定,那因此而带来的部门间的摩擦就是必要的,像安全团队在开发人员发布过程中常常会引发的摩擦,大多都基于合规控制,此时的安全团队会变更管理要求,提出手动审查。所以,在未经仔细考虑的情况下不要部署这些控制措施,而一旦确定了要落地相关安全措施,开发人员也需要理解,安全团队是为企业可能会遭受到的风险在考虑。
安全工程团队若将开发人员的经验视为首要任务,则需要去了解那些可以编写高质量软件的工具和流程,而一旦有了“开发至上”的心态,安全工程团队就需要了解基础设施或平台工程技能。另一方面,安全工程团队会让更多人参与进自动化工作流,并将服务相互连接,其本质上是将越来越多的环境组合在一起以实现规模化。
而所有这些相关的工作都有助于开发人员可以更好的输出,其实就是在减少合作摩擦。合作摩擦越少,输送的灵活性就越高,速度也就越快。可以说,这是一种特质和指引,有助于安全工程团队提高生产力和同理心。
此外,安全工程团队得明白,无论自己的工作范围和项目负荷如何,都不是在真空中工作,因此与他人合作并为他人服务是工作中一个重要组成部分,也是企业整个系统下的必要环节。
安全工程团队的每个成员,都要学会和团队外的其他成员或利益相关者进行沟通,要有实现共同目标的决心和风度。部门之间首先要先了解各自的问题是什么,摩擦点是什么,制约因素在哪里,以及安全可以如何帮助到各部门,这些针对性的问题揭示了什么是正确的方向,只有走在正确的道路上,高效才有意义。
所有合作问题都需要通过沟通来解决,因此具备良好的心态尤为重要,作为企业中的一员,彼此之间所秉持的信念是以人为本、以公司盈利为目标、以共赢为精神。当然,团队之间具体该怎么协作,这并没有唯一的标准,而无论采取哪种方法,其基础都是确定的,所以同理心、信任、为使命所舍弃的骄傲等,希望诸位安全人员能够共勉。
畅销书作家赛斯·戈丁(Seth Godin)认为,任何人都可以成为领导者,这是一种选择,不是头衔。只要有了足够的思想认知,有了对方向和目标的理解,以及有了最重要的动力,那任何人都能站出来成为领导者。
与安全组织中的其他团队一样,安全工程团队的成功取决于其他团队,它的输出虽然独立于其他团队之外,但可以通过其他团队的辅佐做到尽可能地优化。换句话说,安全工程团队不能只负责建造体系,然后就不管不顾了,安全工程团队必须倾听他人的意见,吸引大家都来参与,然后将体系塑造得越来越好。而这一切都需要领导力。
具体来说,就是安全工程团队的成员应该具备“自我领导”的能力,在工作时收集、统计、运用与自身岗位相关的信息,并在团队之外建立足够的影响力,这些作为可以运用在利益相关者的身上,也可以运用在所服务的客户身上。安全工程团队的成员们需要牢记,要将强大的关系、组织知识和背景以及技术专长汇集在一起,这样才能更好地影响他人。
安全工程团队所需具备的技能应该不止沟通和协作,这些都属于软技能,而软技能指的是大量的非技术技能,这些技能更加专注于内心,并与技术技能相辅相成。
对于安全工程团队来说,总有更多的任务需要完成,在安全工程上可能会要求构建、加固赫尔修补,或者要求在整个开发环境中为软件建设更多安全方面的内容,这就会牵扯到需要更多的容量、更多的需求、更多的时间耗费。
而时间是所有团队的普遍限制,正因为如此,团队必须更有效地确定重要事项的优先级,“高效,但做的是错事”,这不会带来任何进步。可以通过许多技术来区分工作、价值与复杂性的优先级,包括客户满意度或其他各种因素的权重,而一般情况下,法律法规等要求是确定优先事项的主要因素。
安全工程团队要能够适应不断变化的需求、技术和环境,可以说这也是在安全领域工作的乐趣之一:事态永远都在变化。
适应性不仅仅是任务的更替,而是要根据利益相关者的需求调整解决问题的方法,根据团队成长的变化和利益相关者需求的变化,适应所有权风险,并在解决问题的过程中有意吸引不同的群体,同时为了这些群体适时调整工作流程。
这些都是安全工程团队凸显适应性的地方,从明面上看,就是灵活性和流动性,因此才说“敏捷团队”更富有弹性和韧性。
一个能够不断学习新技能,学习组织文化、政策和工作方式的团队不仅是明智的,在当今快速发展的世界中也是必要的。
因此,安全工程团队的成员应不断发展,提升自己,并在现有的心理模型和经验基础上进行更深层的塑造。亚当·格兰特(Adam Grant)在《再思考》(Think Again)一书中详细探讨了这一点,他表示,从过去的经验中获取心理模型,同时扩展这些模型并将它们联系起来,以解决当下所面临到的新问题,然后人们就会发现,这种心理模型的构建会使人们进入一些与过去相似的情境中,长此以往,人们将不再陷入过去曾失败过的情绪里,而是会将错误的原因总结出来,并塑造出全新的认知和毅力。
此外,持续学习也会对整个组织的文化产生连锁反应,知识会带来分享,分享会创造讨论,而讨论新事物会激发兴趣和交流,这种渗透到组织中的思维模式会使整个企业一起进化,会使所有团队都参与进与安全相关的文化中,这不但推动了企业内协作的有效性,也推动了整个企业在安全方面的意识。
对于该如何有效发挥安全工程团队的力量,企业在这方面又该如何配合安全部门,国内安全专家如此建议。
某科技公司信息安全总监刘凯建议:
1、安全负责人应清楚的定义哪些安全能力需要工程团队实现,并明确基于哪些原则来定义实现的边界。
2、在明确需要工程团队实现安全能力的内容和范围后,安全负责人需要设计面向未来的安全框架,在该框架中界定工程团队实现的安全能力目标和非工程团队实现的安全能力之间的关系。
3、安全负责人应充分授权工程团队放手去干。
而某互联网企业安全专家郭建林提出,在国内还没有专职负责安全工程化建设的团队,在郭建林的公司一般由运维开发的同事组成,他们平时对安全比较感兴趣并且愿意做这方面的事情。
在安全建设初期,安全工程团队工作量饱和度高,忙于cicd、代码检查、供应链安全检查等工具的开发,能为团队创造价值。到中后期安全建设工作较少,此时安全工程化团队存在感较弱,建议在运营维护阶段,可安排安全工程化团队参与业务的分析,考虑业务需要哪些安全功能和组件,传统安全工程团队做通用性漏洞建设单涉及业务的较少,比如安全团队如何解决数据造假、失真等问题,这可帮助主业务提升整体安全性。
为此郭建林建议,组织业务团队与安全团队应该进行沟通协作,彼此理解业务的安全价值,不仅仅只在漏洞和合规价值上下功夫。
业内资深专家尤其表示,要给安全工程团队足够的授权,要让其不仅负责开发,还要跳出技术看管理。安全不仅是简单的工具堆积和控制系统开发部署,更重要的是系统开发前的管理流程梳理、内部网路数据安全风险评估和确定采取什么措施予以应对。要让安全工程团队有足够的授权可以深入业务,去了解发现潜在的安全风险,这样才能充分发挥安全工程团队的最大能力。
除此之外,尤其建议,企业其他业务部门万万不可将安全团队放在自己的对立面上,要将他们作为为自己看病治疗的医生,做好配合。只有双方先建立了互信和互助,才能形成合力,确保组织整体的业务和网络数据安全。
某互联网公司安全总监程明表示,作为公司网络安全负责人,责任是确保公司的网络和系统安全,保护公司的数据安全和业务的稳定性,网络安全团队是实现这一目标的关键力量。为了实现这一目标,最大限度的发挥安全工程团队的力量,程明认为该包含以下内容:
1、设立清晰的目标和计划
在制定网络安全策略时,需要设立明确的目标和计划。明确目标可以使安全工程团队专注于重要任务,如加强公司的安全性,减少网络威胁等。同时,具体的计划可以帮助团队成员更好地分配时间和资源,以确保达到预期的成果。
2、建立有效的沟通渠道
在网络安全领域,及时的沟通和反馈至关重要。作为网络安全负责人,需要建立起与网络安全团队、安全工程团队的良好沟通渠道,以便及时了解团队成员的进展情况、解决他们遇到的问题,并在必要时提供支持和指导。
3、持续更新安全知识
网络安全技术变化日新月异,作为网络安全负责人,需要定期关注最新的网络安全趋势和技术,以确保团队能够及时应对网络威胁。可以组织团队成员参加培训课程、会议、研讨会等,以保持最新的安全知识和技能。
4、鼓励创新和学习
在网络安全领域,创新和学习非常重要。所以安全负责人要鼓励团队成员不断尝试新的技术和方法,并保持对最新技术的敏锐感知。安全负责人要提供必要的资源和支持,以帮助团队成员开展创新项目和尝试新的安全工具和技术。
5、定期审查和持续改进
网络安全风险是不断变化的,因此,作为网络安全负责人,要定期审查和评估现有的安全策略和措施,并进行持续改进。与团队成员合作,分析最新的安全趋势和威胁,识别潜在的风险,并采取相应的措施来减少安全威胁。
6、确定关键任务和优先级
安全团队需要处理的任务非常繁重,因此需要确定哪些任务是最重要的,并优先处理这些任务。这可以帮助团队的成员集中精力处理最关键的任务,提高工作效率和质量。可以与团队成员一起评估任务的风险程度和优先级,以确保网络安全问题得到及时解决。
7、确定团队成员的角色和职责
为了发挥网络安全团队的力量,安全负责人要确定每个团队成员的角色和职责。这可以帮助团队成员明确自己的任务和责任,并使他们更好地协作和配合。安全负责人还可以根据团队成员的技能和兴趣,分配适当的任务和职责,以达到最佳的工作效果。
8、提供必要的资源和支持
为了让网络安全团队更好地发挥力量,安全负责人要提供必要的资源和支持。这包括资金、人力、设备、软件和工具等。与其他部门合作,共享资源和信息,以便更好地完成网络安全任务。通过建立安全意识培训、安全审计和演习等措施,为团队成员提供必要的支持和培训。
9、建立关系和网络
在网络安全领域,建立关系和网络非常重要。安全团队要与安全供应商和合作伙伴建立良好的合作关系,共同应对网络安全威胁。这些关系可以为团队提供更多的资源和支持,并为团队成员提供更多的机会来学习和成长。
程明表示,以上这些措施可以帮助团队更好地应对安全威胁,保护企业信息安全,而他所在的企业就是这样在市场上提升竞争力的。
除此之外,程明指出,网络安全部门通常是负责公司整个网络安全战略的团队,工作涉及到保护基础设施、系统、数据和应用程序等重要资源,以确保企业业务运营和客户数据的安全。配合网络安全部门发挥网络安全团队的力量,可以让企业更好地保护自己的业务和客户数据,并降低安全风险。
以下是程明对如何配合网络安全部门发挥网络安全团队的力量的建议:
1、建立良好的沟通渠道。公司应该建立良好的沟通渠道,确保网络安全部门和其他部门之间的信息流通畅。这样可以帮助网络安全部门更好地了解公司其他部门的需求和业务流程,并为他们提供有效的解决方案。
2、共同制定网络安全策略。公司应该与网络安全部门一起制定网络安全策略,以确保所有员工遵循最佳实践和标准。这样可以降低安全风险并增强网络安全防御能力。
3、定期进行风险评估和安全审查。公司应该与网络安全部门合作,定期进行风险评估和安全审查。这可以帮助发现网络威胁和漏洞,及时修补安全漏洞,提高网络安全性。
4、提供员工培训。公司应该为所有员工提供网络安全培训,并与网络安全部门合作,提供有关网络安全最佳实践和最新威胁的信息。这可以帮助员工更好地了解网络安全风险,并学习如何避免和处理安全威胁。
5、采取多层次的安全措施。公司应该与网络安全部门合作,采取多层次的安全措施,包括加密、身份验证、访问控制、防火墙和入侵检测系统等。这可以帮助防止未经授权的访问和数据泄漏,并提高网络安全性。
6、及时通报安全事件。公司应该及时向网络安全部门通报任何安全事件,以便他们可以立即采取行动,保护公司的网络安全。
“总之,配合网络安全部门发挥网络安全团队的力量需要公司与网络安全部门密切合作,制定共同的安全策略和标准,并建立良好的沟通渠道和协作机制。这样可以保护公司的网络基础设施和客户数据,并确保业务连续性和可靠性。同时,公司还需要为员工提供安全培训和指导,采取多层次的安全措施,及时通报安全事件,并持续地进行风险评估和安全审查。只有这样,公司才能在日益复杂的网络安全威胁下保持竞争力,赢得客户的信任和口碑。”
《How to unleash the power of an effective security engineering team》
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩